Igény szerinti kiépítés a Microsoft Entra-azonosítóban

  • Cikk

Igény szerinti kiépítéssel másodpercek alatt kiépíteni egy felhasználót vagy csoportot. Többek között ezt a képességet használhatja a következő lehetőségekre:

  • A konfigurációs problémák gyors elhárítása.
  • Ellenőrizze a definiált kifejezéseket.
  • Hatókörszűrők tesztelése.

Igény szerinti kiépítés használata

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.
  1. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>, és válassza ki az alkalmazást.
  2. Válassza a Kiépítés lehetőséget.
  1. Keresse meg az identitás>külső identitásait>bérlők közötti szinkronizálási>konfigurációk között
  2. Válassza ki a konfigurációt, majd lépjen a Kiépítési konfiguráció lapra.

  1. Konfigurálja a kiépítést a rendszergazdai hitelesítő adatok megadásával.

  2. Válassza az Igény szerinti kiépítés lehetőséget.

  3. Felhasználó keresése utónév, vezetéknév, megjelenítendő név, felhasználónév vagy e-mail-cím alapján. Másik lehetőségként kereshet egy csoportot, és legfeljebb öt felhasználót vehet fel.

    Feljegyzés

    A Cloud HR-kiépítési alkalmazás (Workday/ SuccessFactors to Active Directory/Microsoft Entra ID) esetében a bemeneti érték eltérő. Workday-forgatókönyv esetén adja meg a felhasználó "WorkerID" vagy "WID" azonosítóját a Workdayben. SuccessFactors-forgatókönyv esetén adja meg a felhasználó "personIdExternal" elemét a SuccessFactorsban.

  4. Válassza a Lap alján található Kiépítés lehetőséget.

    Screenshot that shows the Microsoft Entra admin center UI for provisioning a user on demand.

A kiépítési lépések ismertetése

Az igény szerinti kiépítési folyamat megkísérli megjeleníteni azokat a lépéseket, amelyeket a kiépítési szolgáltatás a felhasználó kiépítésekor követ. A felhasználó kiépítésének általában öt lépése van. A következő szakaszokban ismertetett lépések közül legalább egy az igény szerinti üzembe helyezés során jelenik meg.

1. lépés: Kapcsolat tesztelése

A kiépítési szolgáltatás egy "tesztfelhasználó" kérésével megkísérli engedélyezni a célrendszerhez való hozzáférést. A kiépítési szolgáltatás olyan választ vár, amely azt jelzi, hogy a szolgáltatás jogosult folytatni a kiépítési lépéseket. Ez a lépés csak akkor jelenik meg, ha sikertelen. Ez nem jelenik meg az igény szerinti üzembe helyezés során, ha a lépés sikeres.

Hibaelhárítási tippek

  • Győződjön meg arról, hogy érvényes hitelesítő adatokat, például titkos jogkivonatot és bérlői URL-címet adott meg a célrendszernek. A szükséges hitelesítő adatok alkalmazásonként eltérőek. Részletes konfigurációs oktatóanyagokért tekintse meg az oktatóanyagok listáját.
  • Győződjön meg arról, hogy a célrendszer támogatja az Attribútumleképezések panelen definiált egyező attribútumok szűrését . Előfordulhat, hogy a támogatott szűrők megismeréséhez ellenőriznie kell az alkalmazás fejlesztője által biztosított API-dokumentációt.
  • A tartományközi identitáskezelési (SCIM) alkalmazásokhoz használhat olyan eszközt, mint a Postman. Ezek az eszközök segítenek biztosítani, hogy az alkalmazás a Microsoft Entra kiépítési szolgáltatás által elvárt módon reagáljon az engedélyezési kérelmekre. Tekintse meg a példakérést.

2. lépés: Felhasználó importálása

Ezután a kiépítési szolgáltatás lekéri a felhasználót a forrásrendszerből. A szolgáltatás által lekért felhasználói attribútumok később a következőkre lesznek használva:

  • Annak kiértékelése, hogy a felhasználó rendelkezik-e a kiépítés hatókörével.
  • Ellenőrizze egy meglévő felhasználó célrendszerét.
  • Határozza meg, hogy milyen felhasználói attribútumokat exportáljon a célrendszerbe.

Részletek megtekintése

A Nézet részletei szakaszban a forrásrendszerből importált felhasználó tulajdonságai láthatók (például Microsoft Entra-azonosító).

Hibaelhárítási tippek

  • A felhasználó importálása meghiúsulhat, ha az egyező attribútum hiányzik a forrásrendszer felhasználói objektumából. A hiba megoldásához próbálkozzon az alábbi módszerekkel:

    • Frissítse a felhasználói objektumot az egyező attribútum értékével.
    • Módosítsa az egyező attribútumot a kiépítési konfigurációban.

  • Ha egy várt attribútum hiányzik az importált listából, ellenőrizze, hogy az attribútum rendelkezik-e értékkel a forrásrendszer felhasználói objektumán. A kiépítési szolgáltatás jelenleg nem támogatja a null attribútumok kiépítését.

  • Győződjön meg arról, hogy a kiépítési konfiguráció attribútumleképezési oldala tartalmazza a várt attribútumot.

3. lépés: Annak megállapítása, hogy a felhasználó hatókörben van-e

Ezután a kiépítési szolgáltatás határozza meg, hogy a felhasználó rendelkezik-e a kiépítés hatókörével. A szolgáltatás az alábbi szempontokat veszi figyelembe:

  • Azt jelzi, hogy a felhasználó hozzá van-e rendelve az alkalmazáshoz.
  • Azt jelzi, hogy a hatókör szinkronizálva van-e, vagy az összes szinkronizálása.
  • A kiépítési konfigurációban definiált hatókörszűrők.

Részletek megtekintése

A Részletek megtekintése szakasz a kiértékelt hatókörkezelési feltételeket mutatja. A következő tulajdonságok közül egy vagy több látható:

  • A forrásrendszer aktív értéke azt jelzi, hogy a felhasználó a Microsoft Entra ID-ban igaz értékű tulajdonságot IsActive állított be.
  • Az alkalmazáshoz rendelve azt jelzi, hogy a felhasználó a Microsoft Entra ID azonosítójában van hozzárendelve az alkalmazáshoz.
  • A hatókörszinkronizálás azt jelzi, hogy a hatókör-beállítás lehetővé teszi a bérlő összes felhasználójának és csoportjának használatát.
  • A felhasználó kötelező szerepköre azt jelzi, hogy a felhasználó rendelkezik az alkalmazásba kiépítendő szerepkörökkal.
  • A hatókörkezelési szűrők akkor is megjelennek, ha definiált hatókörszűrőket az alkalmazáshoz. A szűrő a következő formátumban jelenik meg: {hatókörszűrő címe} {hatókörszűrő attribútum} {hatókörszűrő-operátor} {hatókörszűrő-érték}.

Hibaelhárítási tippek

  • Győződjön meg arról, hogy érvényes hatókörkezelési szerepkört definiált. Például ne használja a Greater_Than operátort nem egész számmal.
  • Ha a felhasználó nem rendelkezik a szükséges szerepkörökkal, tekintse át az alapértelmezett hozzáférési szerepkörhöz rendelt felhasználók kiépítésére vonatkozó tippeket.

4. lépés: Felhasználó egyeztetése a forrás és a cél között

Ebben a lépésben a szolgáltatás megkísérli egyezni az importálási lépésben lekért felhasználóval a célrendszer egyik felhasználójával.

Részletek megtekintése

A Részletek megtekintése lap a célrendszerben egyeztetett felhasználók tulajdonságait jeleníti meg. A környezeti panel az alábbiak szerint változik:

  • Ha a célrendszerben nincsenek egyező felhasználók, nem jelennek meg tulajdonságok.
  • Ha egy felhasználó egyezik a célrendszerben, megjelenik a felhasználó tulajdonságai.
  • Ha több felhasználó egyezik, mindkét felhasználó tulajdonságai megjelennek.
  • Ha több egyező attribútum is része az attribútumleképezéseknek, az egyes egyező attribútumok egymás után lesznek kiértékelve, és megjelennek az adott attribútumhoz tartozó egyező felhasználók.

Hibaelhárítási tippek

  • Előfordulhat, hogy a kiépítési szolgáltatás nem tud egyedileg egyeztetni egy felhasználót a forrásrendszerben egy felhasználóval a célban. A probléma megoldásához gondoskodjon arról, hogy az egyező attribútum egyedi legyen.
  • Győződjön meg arról, hogy a célrendszer támogatja a szűrést az egyező attribútumként definiált attribútumon.

5. lépés: Művelet végrehajtása

Végül a kiépítési szolgáltatás végrehajt egy műveletet, például a felhasználó létrehozását, frissítését, törlését vagy kihagyását.

Íme egy példa arra, hogy mit láthat egy felhasználó sikeres igény szerinti kiépítése után:

Screenshot that shows the successful on-demand provisioning of a user.

Részletek megtekintése

A Nézet részletei szakasz a célrendszerben módosított attribútumokat jeleníti meg. Ez a megjelenítés a kiépítési szolgáltatás tevékenységének végső kimenetét és az exportált attribútumokat jelöli. Ha ez a lépés sikertelen, a megjelenített attribútumok azokat az attribútumokat jelölik, amelyeket a kiépítési szolgáltatás megpróbált módosítani.

Hibaelhárítási tippek

  • A módosítások exportálásának hibái nagyban eltérhetnek. Gyakori hibák esetén tekintse meg a kiépítési naplók dokumentációját.
  • Az igény szerinti kiépítés azt jelzi, hogy a csoport vagy a felhasználó nem építhető ki, mert nincs hozzárendelve az alkalmazáshoz. Az objektumok alkalmazáshoz való hozzárendelése és az igény szerinti kiépítés során a hozzárendelés végrehajtása között akár néhány percnyi replikációs késés is előfordulhat. Előfordulhat, hogy várnia kell néhány percet, és újra kell próbálkoznia.

Gyakori kérdések

  • Ki kell kapcsolnia a kiépítést az igény szerinti kiépítés használatához? Az olyan alkalmazások esetében, amelyek hosszú élettartamú tulajdonosi jogkivonatot vagy felhasználónevet és jelszót használnak az engedélyezéshez, nincs szükség további lépésekre. Az OAuth-ot engedélyezésre használó alkalmazásokhoz jelenleg le kell állítani a kiépítési feladatot az igény szerinti kiépítés használata előtt. Az olyan alkalmazások, mint a G Suite, a Box, a Workplace by Facebook és a Slack ebbe a kategóriába tartoznak. Folyamatban van az igény szerinti kiépítés támogatása minden alkalmazás esetében anélkül, hogy le kellene állítani a feladatok kiépítését.

  • Mennyi ideig tart az igény szerinti kiépítés? Az igény szerinti üzembe helyezés általában kevesebb, mint 30 másodpercet vesz igénybe.

Ismert korlátozások

Jelenleg néhány ismert korlátozás van az igény szerinti kiépítésre. Tegye közzé javaslatait és visszajelzéseit, hogy jobban meghatározhassuk, milyen fejlesztések történjenek.

Feljegyzés

Az alábbi korlátozások az igény szerinti kiépítési képességre vonatkoznak. Ha tudni szeretne arról, hogy egy alkalmazás támogatja-e a kiépítési csoportokat, a törléseket vagy más képességeket, tekintse meg az alkalmazás oktatóanyagát.

  • A csoportok igény szerinti kiépítése egyszerre legfeljebb öt tag frissítését támogatja. Csatlakozás bérlők közötti szinkronizálást, munkanapot stb. támogatók nem támogatják a csoportkiépítést, ezért nem támogatják a csoportok igény szerinti kiépítését.
  • Az igény szerinti kiépítési kérelem API egyszerre legfeljebb 5 tagú csoportot fogadhat el.
  • A csoportok igény szerinti kiépítése nem támogatott a bérlők közötti szinkronizáláshoz.
  • Az igény szerinti kiépítés támogatja, hogy egyszerre egy felhasználót építsünk ki a Microsoft Entra felügyeleti központon keresztül.
  • A korábban helyreállíthatóan törölt felhasználó visszaállítása a célbérlelőben igény szerinti kiépítéssel nem támogatott. Ha igény szerinti kiépítéssel próbál helyreállítani egy felhasználót, majd visszaállítani a felhasználót, az duplikált felhasználókat eredményezhet.
  • A szerepkörök igény szerinti kiépítése nem támogatott.
  • Az igény szerinti kiépítés támogatja az alkalmazásból nem hozzárendelt felhasználók letiltását. Ez azonban nem támogatja a Microsoft Entra-azonosítóból letiltott vagy törölt felhasználók letiltását vagy törlését. Ezek a felhasználók nem jelennek meg, amikor felhasználót keres.
  • Az igény szerinti kiépítés nem támogatja az alkalmazáshoz közvetlenül nem hozzárendelt beágyazott csoportokat.

Következő lépések